Esta página foi traduzida pela API Cloud Translation.

Proteja dados sensíveis usando o Secret Manager com o Batch

Neste documento, descrevemos como proteger os dados confidenciais que você quer especificar para um job do Batch usando secrets do Secret Manager.

Os secrets do Secret Manager protegem os dados sensíveis com criptografia. Em um job do Batch, é possível especificar um ou mais secrets existentes para transmitir com segurança os dados confidenciais que eles contêm. Use-os para fazer o seguinte:

Defina com segurança variáveis de ambiente personalizadas que contenham dados confidenciais.
Especificar com segurança as credenciais de login de um Docker Registry para permitir que os executáveis de um job acessem imagens de contêiner particulares.

Antes de começar

Se você nunca usou o Batch, leia Primeiros passos com o Batch e ative-o concluindo os pré-requisitos para projetos e usuários.
Crie um secret ou identifique um secret para os dados confidenciais que você quer especificar com segurança para um job.
Para receber as permissões necessárias para criar um job, peça ao administrador para conceder a você os seguintes papéis do IAM:
- Editor de jobs em lote (roles/batch.jobsEditor) no projeto
- Usuário da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço do job, que, por padrão, é a conta de serviço padrão do Compute Engine
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Para garantir que a conta de serviço do job tenha as permissões necessárias para acessar secrets, peça ao administrador para conceder à conta de serviço do job o papel do IAM de Acessador de secrets do Secret Manager (roles/secretmanager.secretAccessor) no secret.

Transmitir dados confidenciais com segurança para variáveis de ambiente personalizadas

Para transmitir dados confidenciais de secrets do Secret Manager para variáveis de ambiente personalizadas, defina cada variável de ambiente com segurança no subcampo de variáveis de secret (secretVariables) de um ambiente e especifique um secret para cada valor. Sempre que você especificar um secret em um job, formate-o como um caminho para uma versão do secret: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION.

É possível criar um job que defina variáveis de secret usando a CLI gcloud ou a API Batch. O exemplo a seguir explica como criar um job que defina e use uma variável de secret para o ambiente de todos os executáveis (subcampo environment de taskSpec).

gcloud

Crie um arquivo JSON que especifique os detalhes de configuração do job e inclua o subcampo secretVariables para um ou mais ambientes.

Por exemplo, para criar um job de script básico que use uma variável de chave secreta no ambiente para todos os executáveis, crie um arquivo JSON com o seguinte conteúdo:

Aviso: para fins de aprendizado, o script de exemplo a seguir mostra o conteúdo do secret especificado no stream de saída padrão. No entanto, não é recomendável usar scripts como esse para dados sensíveis reais, porque eles podem fazer com que o conteúdo não criptografado do secret seja gravado em locais não autorizados, como o Cloud Logging.
```
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo This is the secret: ${SECRET_VARIABLE_NAME}"
            }
          }
        ],
        "environment": {
          "secretVariables": {
            "{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION"
          }
        }
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}
```
Substitua:
- SECRET_VARIABLE_NAME: o nome da variável secreta. Por convenção, os nomes das variável de ambiente são em maiúsculas.
  
  Para acessar com segurança os dados sensíveis da chave secreta do Secret Manager da variável, especifique o nome da variável nos executáveis deste job. A variável de chave secreta pode ser acessada por todos os executáveis que estão no mesmo ambiente em que você define a variável de secret.
- PROJECT_ID: o ID do projeto.
- SECRET_NAME: o nome de um secret atual do Secret Manager.
- VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.
Para criar e executar o job, use o comando gcloud batch jobs submit:
```
gcloud batch jobs submit JOB_NAME \
  --location LOCATION \
  --config JSON_CONFIGURATION_FILE
```
Substitua:
- JOB_NAME: o nome do job.
- LOCATION: o local do job.
- JSON_CONFIGURATION_FILE: o caminho de um arquivo JSON com os detalhes de configuração do job.

API

Faça uma solicitação POST para o método jobs.create que especifica o subcampo secretVariables para um ou mais ambientes.

Por exemplo, para criar um job de script básico que usa uma variável de chave secreta no ambiente para todos os executáveis, faça a seguinte solicitação:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo This is the secret: ${SECRET_VARIABLE_NAME}"
            }
          }
        ],
        "environment": {
          "secretVariables": {
            "{SECRET_VARIABLE_NAME}": "projects/PROJECT_ID/secrets/SECRET_NAME/versions/VERSION"
          }
        }
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Substitua:

PROJECT_ID: o ID do projeto.
LOCATION: o local do job.
JOB_NAME: o nome do job.
SECRET_VARIABLE_NAME: o nome da variável secreta. Por convenção, os nomes das variável de ambiente são em maiúsculas.

Para acessar com segurança os dados sensíveis da chave secreta do Secret Manager da variável, especifique o nome da variável nos executáveis deste job. A variável de chave secreta pode ser acessada por todos os executáveis que estão no mesmo ambiente em que você define a variável de secret.
SECRET_NAME: o nome de um secret atual do Secret Manager.
VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.

Acesse com segurança imagens de contêiner que exigem credenciais de registro do Docker

Para usar uma imagem de contêiner de um registro particular do Docker, um executável precisa especificar as credenciais de login que permitem acessar esse registro do Docker. Especificamente, para qualquer contêiner executável com o campo URI de imagem (imageUri) definido como uma imagem de um registro particular do Docker, especifique as credenciais necessárias para acessar esse registro do Docker usando os campos nome de usuário (username) e senha (password).

É possível proteger todas as credenciais confidenciais de um registro do Docker especificando secrets existentes que contenham as informações, em vez de definir esses campos diretamente. Sempre que você especificar um secret em um job, formate-o como um caminho para uma versão do secret: projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION.

É possível criar um job que use imagens de contêiner de um registro particular do Docker usando a CLI gcloud ou a API Batch. No exemplo a seguir, explicamos como criar um job que usa uma imagem de contêiner de um registro particular do Docker especificando o nome de usuário e a senha como um secret diretamente.

gcloud

Crie um arquivo JSON que especifique os detalhes de configuração do job. Para qualquer executável de contêiner que use imagens de um registro particular do Docker, inclua as credenciais necessárias para acessá-lo nos campos username e password.

Por exemplo, para criar um job de contêiner básico que especifique uma imagem de um registro particular do Docker, crie um arquivo JSON com o seguinte conteúdo:
```
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "container": {
              "imageUri": "PRIVATE_IMAGE_URI",
              "commands": [
                "-c",
                "echo This runnable uses a private image."
              ],
              "username": "USERNAME",
              "password": "PASSWORD"
            }
          }
        ],
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}
```
Substitua:
- PRIVATE_IMAGE_URI: o URI de uma imagem de contêiner de um registro particular do Docker. Se essa imagem exigir outras configurações de contêiner, inclua-as também.
- USERNAME: o nome de usuário do registro particular do Docker, que pode ser especificado como um secret ou diretamente.
- PASSWORD: a senha do registro particular do Docker, que pode ser especificada como um secret (recomendado) ou diretamente.
  
  Por exemplo, para especificar a senha como um secret, defina PASSWORD como o seguinte:
```
projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
```
  Substitua:
  - PROJECT_ID: o ID do projeto.
  - SECRET_NAME: o nome de um secret atual do Secret Manager.
  - VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.
Para criar e executar o job, use o comando gcloud batch jobs submit:
```
gcloud batch jobs submit JOB_NAME \
  --location LOCATION \
  --config JSON_CONFIGURATION_FILE
```
Substitua:
- JOB_NAME: o nome do job.
- LOCATION: o local do job.
- JSON_CONFIGURATION_FILE: o caminho de um arquivo JSON com os detalhes de configuração do job.

API

Faça uma solicitação POST ao método jobs.create. Para qualquer executável de contêiner que use imagens de um registro particular do Docker, inclua as credenciais necessárias para acessá-lo nos campos username e password.

Por exemplo, para criar um job de contêiner básico que especifique uma imagem de um registro particular do Docker, faça a seguinte solicitação:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "container": {
              "imageUri": "PRIVATE_IMAGE_URI",
                "commands": [
                  "-c",
                  "echo This runnable uses a private image."
                ],
                "username": "USERNAME",
                "password": "PASSWORD"
            }
          }
        ],
      }
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Substitua:

PROJECT_ID: o ID do projeto.
LOCATION: o local do job.
JOB_NAME: o nome do job.
PRIVATE_IMAGE_URI: o URI de uma imagem de contêiner de um registro particular do Docker. Se essa imagem exigir outras configurações de contêiner, inclua-as também.
USERNAME: o nome de usuário do registro particular do Docker, que pode ser especificado como um secret ou diretamente.
PASSWORD: a senha do registro particular do Docker, que pode ser especificada como um secret (recomendado) ou diretamente.

Por exemplo, para especificar a senha como um secret, defina PASSWORD como o seguinte:
```
projects/PROJECT_ID/secrets/SECRET_ID/versions/VERSION
```
Substitua:
- PROJECT_ID: o ID do projeto.
- SECRET_NAME: o nome de um secret atual do Secret Manager.
- VERSION: a versão do secret especificado que contém os dados que você quer transmitir para o job. Pode ser o número da versão ou latest.

A seguir

Se você tiver problemas para criar ou executar um job, consulte Solução de problemas.
Visualizar jobs e tarefas
Saiba mais sobre as variáveis de ambiente.
Saiba mais sobre o gerenciador de secrets.
Saiba mais sobre mais opções de criação de jobs.